Security (b)log: Betrouwbaar

Iemand vroeg eens aan een dierentuindierenarts of het waar is dat ijsberen zo onbetrouwbaar zijn. “Welnee,” luidde het vileine antwoord van de veterinair, “ijsberen zijn juist uiterst betrouwbaar. Als je hun kooi binnenstapt, dan weet je zeker dat ze je kop eraf trekken.”

Een mensendokter had een patiënt op het spreekuur die hooikoorts bleek te hebben. De arts schreef pillen voor en de apotheker somde de mogelijke bijwerkingen op. De patiënt kreeg daadwerkelijk last van flinke hoofdpijn. Je zou kunnen zeggen dat de bijsluiter heel betrouwbaar was.

Een moordenaar, waarvan een cipier had gewaarschuwd dat hij geradicaliseerd was, mocht toch op verlof. Tijdens dat verlof vermoordde hij drie mensen. Ik aarzel om daar het label ‘betrouwbaar’ aan te hangen, maar als je cynisch wilt zijn kun je wel zeggen dat hij ruimschoots aan de verwachtingen heeft voldaan.

Ik heb het al eerder gehad over betrouwbare internetcriminelen. Dat zijn criminelen die je bijvoorbeeld afpersen met ransomware, maar ook echt doen wat ze beloven: als je betaalt, dan krijg je je bestanden terug. Op het dark web vind je sites waar je DDoS-aanvallen of drugs kunt bestellen. Die sites hebben soms een uitstekend functionerende helpdesk en ze geven ‘niet goed, geld terug’-garantie. Heel betrouwbaar allemaal.

De meesten van ons hebben toch een ander beeld bij de betekenis van ‘betrouwbaar’. Er bestaat kennelijk zoiets als positieve en negatieve betrouwbaarheid. Google levert bij zoeken op ‘negatieve betrouwbaarheid’ naast enkele wetenschappelijke hits vooral resultaten waarbij met die term eigenlijk ‘onbetrouwbaar’ wordt bedoeld, maar dat is dus niet wat ik bedoel. Ik heb het over voorspelbaar ongewenst gedrag.

Doorgaans zitten we niet te wachten op negatieve betrouwbaarheid. We willen een betrouwbare auto, betrouwbare mensen om ons heen en natuurlijk ook betrouwbare ICT. ICT bestaat niet alleen uit hard- en software – waarvan we allang weten dat die, alleen al door hun omvang en complexiteit, inherent onbetrouwbaar zijn – maar ook uit processen voor de totstandkoming van die ICT. Die processen kennen ook een zekere mate van betrouwbaarheid. Een van de aspecten van betrouwbaarheid is veiligheid. Je kunt de veiligheid van ICT-producten verhogen door de betrouwbaarheid van de processen te verhogen.

Hoe? Door te beginnen met beleid dat gericht is op het maken van veilige producten. Daar staat dan bijvoorbeeld in dat security by design een uitgangspunt is. En dat risicoanalyses vanzelfsprekend zijn, evenals attack & penetration tests voor ICT die aan de grote boze buitenwereld hangt. Om het geen dood beleid te laten zijn heb je natuurlijk wel commitment van het management nodig, al was het alleen maar omdat deze zaken nu eenmaal tijd en geld kosten. Het management moet dat beleid uitdragen, zodat de gehele organisatie ervan doordrongen wordt wat the tone at the top is en zich daar ook naar gedraagt.

Maar je bent als informatiebeveiliger nog lang niet klaar als je beleid hebt geschreven, dat door het management hebt laten accorderen en daar een berichtje over hebt gepubliceerd op het intranet. Nee, nu begint het echte werk pas: trek de organisatie in en help teams met het – vanuit beveiligingsoptiek – op orde krijgen of verder verbeteren van hun processen. Als je de juiste mensen weet te vinden, zul je vaak zien dat die er niet alleen het nut van inzien, maar dat ze het ook nog leuk gaan vinden. Ze snappen dat informatiebeveiliging geen doel is, maar een middel om tot betere – want betrouwbaardere – ICT te komen.

Wij van beveiliging zijn geen vervaarlijke ijsberen, maar vriendelijke teddyberen. We schuiven graag bij je aan om je te helpen met het verbeteren van de betrouwbaarheid van je processen en producten.